Будни домофонщика часть 0. Вступление (V2, перезалив)
Release note:
-Текст переведен на русский язык.
-Добавлены незначительные пояснения по тексту
-Добавлено описание нового типа ключа
Огромное спасибо @Rones за подготовку нового текста с нуля.
http://rones.su/ все о слаботочке и скуд на русском и с картинками.
Виды ключей
• Контактные ключи.
В домофонах с контактными считывателями используется ключ Touch memory. Это так называемая «таблетка» Dallas DS1990A — самая простая, не защищённая от копирования модель.
Контактные ключи Dallas — прошлый век в прямом и переносном смысле. Но в 90-х считалось, что их невозможно подделать. О копировании даже мысли не было.
• Бесконтактные ключи (RFID) — «капельки» — более разнообразны.
Есть незащищённый формат EM-Marin, есть типа защищённый Mifare.
Mifare любой модификации кроме той что использует визит позволяет защитить данные на ключе от чтения паролем. Пароль в панели, самые дорогие дубликаторы умеют его читать прямо из панели остальные подбирают самостоятельно. 95% ключей содержат ошибку позволяющую подобрать пароль максимум за пол часа и скопировать мифаре за 300р как обычный ключ. Именно поэтому управляющие компании пока не берут больше 500р за ''некопируемый'' ключ.
▲ Вышеперечисленные ключи не являются магнитными, хотя их так ошибочно называют. Размагнитить их нельзя. Переменным магнитным полем испортить можно. При должных стараниях ключ сильно нагреется и расплавится.
• Но реально магнитные ключи существуют. Это ключ на 18 магнитных точек ▼.
Используются в домофоне Факториал. Вставляются в домофон до упора. Вот их-то можно размагнитить. К холодильнику они не клеятся. Тут принцип примерно тот же, что и у магнитофонной ленты.
Бывают ключи содержащие настоящие магниты, и они сами ко всему липнут.
• Оптические ключи с 15-18 точками, некоторые из которых просверлены насквозь. Внешне похожи на магнитные ключи.
Как работают ключи
• Домофонщик не «намагничивает» Dallas DS1990A или EM-Marin перед тем как выдать его жильцу. Ключ уже продаётся с уникальным кодом, а мастер добавляет этот код в память домофона. После этого домофон начинает пускать по новому ключу.
• Один ключ можно записать в неограниченное количество совместимых с ним домофонов.
• Память домофона ограничена. К примеру, в домофон Vizit можно записать около 2000 ключей.
• Код ключа можно скопировать в специальный пустой ключ-заготовку типа как на флешку. После этого копия (клон) ключа будет открывать те же домофоны, что и оригинал. Правда, некоторые домофоны оборудованы защитой от клонов.
Китайская заготовка для копирования в 2-3 раза дешевле оригинального ключа с заводским кодом.
Устройство ключей
• В контактном ключе Dallas DS1990A содержится неперезаписываемая память на 8 байт. Первый байт код семейства определяет возможности ключа. У домофонных ключей первый байт всегда 01. Последний байт — контрольная сумма, она рассчитывается из первых семи. Оставшиеся 6 байт записываются на заводе по порядку: 0001, 0002 и т. д.
Сейчас используется 4 байта из 6. Уникальных ключей можно создать в 50 000 раз больше, чем создано с 90х.
• С бесконтактными ключами EM-Marin то же самое, только дошли до 3 байта из 5.
• При прикладывании контактного ключа к считывателю на ключ подаётся питание. Центральный контакт (пятачок) — плюс 5 вольт, ободок — «земля».
Ключ в ответ выстреливает свой код. Для передачи каждого бита ключ закорачивает питание, и напряжение на считывателе проседает, что и регистрируется домофоном. Короткое проседание — логическая 1, длительное — 0.
• Домофон читает контактный ключ полностью, проверяет по сумме правильность чтения и выбирает из кода 3 или 4 байта. Сейчас из 6 уникальные только 4.
Далее домофон ищет эти байты в своей памяти.
• С бесконтактными то же самое, только связь с ключом осуществляется электромагнитным способом через встроенную в ключ обмотку. То есть, питание передаётся как с бесконтактной зарядки для телефона.
При замыкании катушки чипом потребление на считывателе увеличивается.
Кроме 5 байт есть ещё вроде 4 байта чётности, но они используются считывателем для проверки кода и до нас со считывателя доходят только 5 уникальных.
• В старых домофонах «пустые» ячейки памяти заполнены нулями или шестнадцатиричными числами FF. Именно по этому признаку домофон находит первую свободную ячейку при добавлении нового ключа.
• При предъявлении ключа домофон читает 4 байта и сравнивает с первыми 4 в памяти. Если не совпало, читает следующие 4, и так до конца памяти.
• Если в заготовку ключа записать код 00 00 00 00 (или FF FF FF FF), то старый домофон примет такой ключ как родной, как только найдёт в своей памяти пустую ячейку. Таким образом, ключ с «пустым» кодом является вездеходом для всех старых домофонов.
• Эту уязвимость не могли предусмотреть, ведь заводские ключи имеют уникальные коды, а возможности кустарно записать в ключ произвольный код раньше не было.
• Три способа устранить эту уязвимость:
1. При переборе ячеек прекратить поиск, как только попадётся ячейка с нулями или FF. И выдать сигнал ошибки.
2. Хранить в памяти количество занятых ячеек и просматривать записанные коды только в них.
3. Игнорировать ключи с кодами из одних нулей (или FF), как это делают Eltis и Vizit, изготовленные после 2008 года. Таким образом, прописать вездеход в эти домофоны нельзя.
• Cyfral до сих пор не пришёл ни к одному из решений этого бага, лишь вставляет «костыли».
• С бесконтактными ключами принцип тот же. Только тут для Цифрала прошивку писать пришлось с нуля и «дырку» закрыли. Но не факт что сразу.
• Eltis и контактный и бесконтактный не имеет вообще никаких «дырок». Совсем. И никогда не имел. Максимум можно раздолбать панель и получить доступ к проводам. Или прописать ключ от Визита. Видел такое не раз, но ключ от Визита фильтровать никто не умеет.
• С Визитом ещё лучше — в старой прошивке был заложен код 11 40 be — так называемая закладка. Речь идёт о Визитовских блоках трехсотой серии — БУД-301 и БУД-302М. В четырёхсотой серии закладки нет на 95%. Чтоб сделать визитовский вездеход нужно записать на бесконтактную болванку код 56 5a 11 40 be. В ближайшей мастерской за 300 руб. запишут.
• Визит выпускается без закладок с 2015 года. При этом судить об узвимости системы по возрасту панели нельзя. У большинства моделей Визита ключи хранятся не в вызывной панели, а в блоке управления, расположенном в подъезде. И блок управления вполне может оказаться молодым и неуязвимым.
Или наоборот — дверь заменили, поставили свежую вызывную панель, а блок управления оставили старый, с закладкой в прошивке.
В новостройках весь комплект всегда новый.
• Закладку можно удалить из памяти домофона. И не нужно покупать новую модель!
- Находите блок управления (БУД).
- Списываете его модель.
- Скачиваете инструкцию.
- Смотрите, как войти в меню без пароля и как стереть ключ из памяти.
- Покупаете визитовский ключ-вездеход и по инструкции удаляете его из домофона.
- Profit!
• Про Метакомы сказать нечего. В Питере им всем больше 20 лет. Новые работают с проприетарным ключом и «дырок» возможно не имеют.
• Кроме «дырок» и закладок есть еще районые ключи. Обычно у каждого установщика по одному на район. Один ключ прописан во все панели. В питере всего 35. У меня 30. Покупают соцработники, почтальоны, скорая помощь, МЧС и пр.
• Ну и кондовый способ попасть в чужой подъезд — просто рвануть дверь. Электромагнитные замки обычно ставят кое-как, и замок не удерживает якорь при хорошем рывке.
Устанавливал я два здоровых Цифраловских магнита в магазин на обычную металлическую дверь из двух листов и каркаса жёсткости. На 12 точек к прямоугольнику приварен. Короче, обычная уличная дверь типа пожарной. Машиной отодрать магнитики с разгона 30 метров не удалось, а вот обычный замок вырван. Так что, возможность отодрать магнит руками — это исключительно рукожопие установщика.
Особенно радует железная дверь, которую можно отогнуть на 15 см снизу. Пусть даже дверь заперта мощным Цифралом — отодрать уже реально.
А бывает шедевр — пластиковая дверь типа балкона и мини магнитик Визит типа на 300 кило. После установки такую конструкцию по привычке даже бабушки отрывают.
Странно что бм не видит мой пост с тем же названием и похожим текстом. Видимо первая версия действительно абсолютно не читабельная